Studieblog Bernhard van der Feen

Vandaag de laatste voorbereidingen gedaan voor de eerste les van de derde periode. Best wel relaxed. Een aantal zaken afgesloten en de punten van afgelopen periode geadministreerd. Gelukkig was ik snel met mijn stage, ik zie net dat ik daarom mogelijk de komende periode op de dinsdag wat later naar school kan. Dat zou helpen in de planning. 

Het webwinkelproject maar ‘s goed begonnen nu. Ik heb de eerste versies van drie opleverdocumenten gepost, ben benieuwd wat projectmaat Sjaak daar van gaat vinden.

Met klasmanagement en pedagogisch handelen op dinsdag zijn er weer leuke nieuwe onderwijskundige vakken aan de horizon. Ook het vak DBMS trekt mij wel aan. Het zal niet heel veel nieuws brengen maar veel opfrissing zal het zeker zijn.  Met Java 2 ben ik benieuwd of ik mij nog iets kan herinneren uit Java 1. Dat zou wel handig zijn, maar ik betwijfel het. Ik ga het morgen ervaren.

Dat slaat zowel op mijn studie, een beetje laat begonnen op mijn 49ste, als op het feit dat ik deze blog start nu 6 maanden nadat ik met de studie ben begonnen. Ik heb zo af en toe mijn gedachten bij de studie en ik vind het wel leuk om die met mijn medestudenten en andere geïnteresseerden te delen.  Dus bij deze.

In augustus beginnen met de studie Leraar Voortgezet Onderwijs ICT bij Windesheim. Mijn doelstelling is om over vier jaar een paar dagen per week op een ROC les te gaan geven in dit vak. Daarnaast wil ik LLB als bijvak nemen, maar dat is van later zorg.  Nu eerst deze vier jaar succesvol doorkomen.

Met twee avonden (ma/di) per week naar school is het een leuke mengeling van studie en ontmoeten. Het klasje waar we mee begonnen is geslonken van 8 of 9 naar 4. Dat is wel weinig, maar wel weer leuk. De docenten zijn leuke mensen. De een wat meer didactische vaardigheden dan de ander, de een wat meer kennis van de stof dan de ander, maar goed daar moeten we ook wel om lachen. Uiteindelijk lukt het ons wel om de stof meester te worden.

Onderhand ben ik nu aan het eind van de tweede periode gekomen. Ik heb mijn 40 uren stage (ruim) gedaan op ROC Friese Poort, een geweldige ervaring. Vooralsnog lekkere cijfers gehaald dus ik mag niet klagen. Maandag ga ik mijn derde periode in. Het rooster heb ik op school zien liggen maar kon ik niet goed vinden op de website van de school. Afwachten maar wat het gaat worden.

Een netwerk moet je dichttimmeren, een PC moet een sterk wachtwoord hebben en een USB stick moet beveiligd zijn met een vingerafdrukscanner.

Zo kunnen we er nog heel veel noemen waarbij een groot deel van de informatiebeveiligers driftig staat te knikken. Er zijn zelfs consultants die vanuit het informatiemodel via de risicomodellering redeneren en meeknikken op het ritme van de security vendors. De ondernemer trekt met zoveel overtuigingskracht uiteindelijk maar z’n portemonnee en betaalt voor de techniek. Niet zonder te twijfelen of hij zijn business écht een dienst bewijst.

De ketting is zo sterk als de zwakste schakel, dus die moeten we sterker maken. Dan is er weer een nieuwe zwakste schakel, dus weer werk aan de winkel, en weer, en weer totdat we ons horloge met een scheepsketting hebben vastgelegd aan ons vestje. Wanneer is het genoeg? Wat wel, wat niet? Is er een methode om écht objectief en puur voor je eigen business en organisatie te bepalen hoeveel en waaraan je beveiligingsgeld moet uitgeven?

Ik heb mij het afgelopen halfjaar in dat onderwerp verdiept en ben tot de conclusie gekomen: Ja, die methodiek is er: SABSA. Een open en gratis te gebruiken methodiek die helemaal niet begint bij de technologie, de informatietechnologie of zelfs niet bij het informatiemodel. Nee, SABSA staat aan de andere kant van het business-IT ravijn en timmert een brug. Vanuit de bedrijfsdoelstellingen wordt gekeken wat de business drijft, welke bedrijfsonderdelen, welke functies, welke krachten en kansen van een organisatie van belang zijn om optimaal succesvol te opereren.

Vanuit dat perspectief wordt er een model gebouwd dat uniek is voor jouw eigen organisatie, waar de huidige kernactiviteiten van de business maar ook de nieuwe kansen bovenaan de lijst staan. En om die kernactiviteiten en kansen te ondersteunen, mogelijk te maken, komen uiteindelijk de eisen die aan de bescherming van informatie worden gesteld. Dat is eens wat anders dan de blokkades die vaak vanuit de hoek van informatiebeveiliging komen. Die eisen zijn dan uiteindelijk de brug naar de IT-afdeling. De IT-afdeling zal (misschien wel blij) verrast zijn dat ze die eisen niet zelf hoeven te bepalen maar dat ze deze nu opgelegd krijgen vanuit de business.

SABSA bestaat zo’n 15 jaar en is ontstaan uit de academische wereld, gegroeid bij overheden en volwassen geworden door de toepassing in de financiële wereld. Ik heb onlangs een 5-daagse trainging gevolgd bij Pink Elephant over SABSA en ik ben onder de indruk en kreeg een mooie kans. Dus ik ga vanaf 1 januari 2010 vanuit Pink Elephant SABSA promoten. Meer weten? Ga naar de PvIB SABSA masterclass op 14 januari.

Morgen staan we er weer, in het stemhokje met een rood potlood in ons hand. Een poging om te automatiseren is mislukt, dus we staan weer terug bij af.

Stemmen tellen, stuk voor stuk. Maar waarom nou toch? We hadden toch een mooie stemmachine? Dat heeft alles te maken met risico’s, informatierisico’s in dit geval. Dus daarmee hebben we een onderwerp dat hier heel goed past. Risico’s rond het stemmen zijn bijvoorbeeld vervalsing van de stemmen, niet-stemmers misbruiken, verliezen van stemmen, traceren wie wat gestemd heeft (of wie wat niet),  geen vrije keuze kunnen maken.

Bij het potloodstemmen is hier natuurlijk allang over nagedacht en maatregelen zijn getroffen om wat aan die risico’s te doen. Ik noem er een paar:

• Vervalsing (je moet zelf je biljet in de stembus doen, telling vindt plaats onder toezicht)
• Nietstemmers (uitgifte stembiljetten vindt plaats onder toezicht, container wordt verzegeld)
• Verliezen van stemmen (ingevulde biljetten zitten in een gesloten container, die wordt alleen geopend onder toezicht)
• Traceren wie wat gestemd heeft (Een biljet bevat geen identificeerbaar gegeven van de stemmer)
• Geen vrije keuze (stemhokje is voor 1 persoon)

Zo zijn er nog wel een paar. Met die set maatregelen is het Nederlandse stemsysteem breed geaccepteerd. Dus je zou kunnen denken dat daarmee elk risico is uitgesloten. Nu, dat is onzin. We hebben geen handschoenen aan bij het aannemen van het stembiljet dus vingerafdrukken kunnen achterblijven waarmee het dus na is te gaan wie wat gestemd heeft. Met een infrarood scanner kun je door het gordijntje heen kijken. Telling en andere cruciale acties vindt plaats onder toezicht, maar een mens is ook maar een mens dus er bestaat altijd een kans dat het groepje is omgekocht. Een erg kleine camera in het stemhokje is snel geplaats en niemand die mij dat ziet doen achter het gordijntje. Er gaat geregeld een partner mee het stemhokje in als een persoon in kwestie niet zo goed de taal machtig is bijvoorbeeld, wie garandeert de vrije keuze. überhaupt, wie garandeert dat iemand niet onder druk staat en overtuigd is dat de persoon die onderdrukt kan uitvinden wat er gestemd wordt?

Ook daar kunnen we nog wel een paar variaties bedenken en de techniek van vandaag geeft mogelijkheden waar vroeger niet over nagedacht is. Zo zie je maar, ook het potloodstemmen is verre van een waterdicht systeem.

Zo zal ook elk ander stemsysteem, geautomatiseerd of niet, risico’s kennen. Maar klaarblijkelijk (gelukkig) zijn we zelfs bij het stemmen voor een overheid bereid om een bepaald risiconiveau te accepteren. Maar hoe bepalen we welk risico we willen nemen? Is daar een formule voor? Of een test? Helaas is dat niet zo simpel, er zijn geen meters, tests of formules die ons helpen met de afweging. Natuurlijk kun je inschattingen doen van het kanspercentage dat iets gebeurt maar daar blijven inschattingen en keuzes in zitten. 

Hoe zat het dan met de stemcomputers? Ja, ook die hadden risico’s. Men kon met een opstelling met speciale apparatuur de straling meten die uit het stemhokje kwam waarmee dan weer de keuze van de persoon kon worden herleid. Men kon inbreken in een havenloods in Rotterdam waar de stemcomputers waren opgeslagen, de processoren herprogrammeren en daarmee de stemming beïnvloeden en zo waren er nog een paar vraagtekens. Ja er waren risico’s, en ja er waren hier en daar mogelijk grotere risico’s dan het potloodstemmen.  Toch vraag ik mij af of we die niet simpel door organisatorische maatregelen hadden kunnen minimaliseren. Zoals het verzegelen van een stemcomputer, (Hardware Security Modules bestaan al lange tijd) of elk uur een controlerondje rond het stemlokaal om sniffers te verjagen.

Security is een combinatie van techniek, procedures en bewustzijn. De beperkingen van het potlood en stemformulier (techniek) zijn opgelost door aanvullende hulpmiddelen (zoals de stembus, de zegel), procedures (zoals identificatie, controle stembus, verzegeling, uitgifte procedure stembiljetten, telprocedure) en bewustzijn (zoals het stembiljet invullen achter gordijntje, overtuigen dat je een vrije keuze hebt). Niemand roept wijvertrouwenhetrodepotloodniet en dus is het potloodstemmen nog steeds acceptabel. 

Ik denk dat we ons met het stemcomputeravontuur sterk hebben laten leiden door de eigenschappen van de techniek en minder oog hadden voor combinaties met procedures en bewustwording. Techniek hoeft (en kán) niet perfect zijn maar kan desondanks toch prima functioneren. Dat zien we met alles om ons heen. Auto’s, vliegtuigen, circelzagen, administratieve systemen, Unix servers, Windows werkstations. Het gaat voor de gewenste functionaliteit altijd om een juiste balans van vriendelijk, veilig en betaalbaar. Daar horen ook hulpmiddelen, procedures en bewustwording bij (bedenk maar eens hoe je met een auto omgaat).

Natuurlijk, de techniek van stemcomputers kan beter en ik hoop dan ook dat we snel een volgende generatie stemcomputers gaan zien maar we moeten ons dan niet blindstaren op een technische onvolkomenheid als die met hulpmiddelen, procedures en bewustwording is te verhelpen.

Het doel: Een gebruikersvriendelijke, veilige en betaalbare oplossing die samen met procedures en bewustwording een acceptabel niveau van risico geeft.

Het was een interessante samenkomst van overheid, grote bedrijven en enkele relevante leveranciers. De centrale vraag is of je nog meester bent van je eigen identiteit. Daar werd voornamelijkgesproken over waar het heen gaat met onze (digitale) identiteit en ook over de computercriminaliteit die bij een alsmaar groeiende e-government in die sector steeds vaker voelbaar wordt.

Een grote groep mensen die klaarblijkelijk allemaal met dit soort problemen te maken hebben. Maar wat doen we er nou mee? Was het een wake-up call, een waarschuwing, of was het slechts een constatering van waar we heen gaan, en don't worry want Govcert watches the space. Dat laatste betwijfel ik, ik hoorde niet echt een opinie, maar misschien moet dat ook niet. Misschien is Govcert gewoon de Ierse Pub, distribueert security informatie, faciliteert uitwisseling van informatie en organiseert een luxe gelegenheid tot netwerken in Huis Ter Duin.

Toch, Identity is een serieus onderwerp waar een mening over gevormd moet worden. Hoe sneller we de beslissing nemen welke eisen we stellen als samenleving des te sneller kunnen we de maatschappij op die manier vormgeven. Wel/Niet het BSN voor andere zaken gebruiken. Wel/Niet bestanden koppelen. Wel/Niet kind dossier. Maar waar het echt op neer komt, zijn we bereid om ons Identity bloot te geven, overal, voor iedereen?

Ik heb niks te verbergen hoor ik bijna iedereen zeggen. In interessante opmerking in dat licht was dat er een flink percentage mensen vreemd gaat, een flink percentage "leent"wel eens wat van de zaak, een flink percentage kijkt wel eens een pornofilm, de volgende rookt stiekem en zo voort... niets te verbergen? Kom nou!